Uma resposta completa para esta pergunta literalmente preencheria um livro sobre segurança.
Mas vou dar-lhe uma resposta quase completa aqui depois de esclarecer alguns pontos sobre o que lhe aconteceu:
Isso parece que atacantes (não “spammers” - spammers apenas postariam spam) foram capazes de explorar o fórum Simple Machines e obter acesso remoto ao seu servidor no qual ele estava hospedado. Travar seu site apenas impediria o acesso a ele, em vez de permitir o acesso.
Presumivelmente, este servidor também hospedava outras coisas ou continha outros dados?
A melhor maneira de pensar sobre isso é em termos de “raio de explosão”. No caso de alguém obter acesso administrativo indevido ao seu fórum, eles teriam acesso a todos os dados do fórum.
Em particular PII (Informações Pessoais Identificáveis), mas também configuração ou outros segredos de API. Por exemplo, se outro serviço em seu domínio dependesse deste site para autenticação, isso poderia permitir que os atacantes fizessem um pivô para esse outro serviço.
No pior cenário, em que um atacante obtivesse acesso aos servidores de backend (geralmente conhecidos como execução remota de código), o raio de explosão também incluiria tudo o que fosse acessível pela conta de usuário sob a qual o serviço real está sendo executado. Várias proteções para limitar esse raio de explosão, como contêineres e execução de servidores com credenciais não administrativas, também ajudam a limitar essa exposição.
Para resumir, hospedar em um serviço gerenciado é o mais seguro para o seu site, pois somos responsáveis pela segurança do sistema.